Über 400 Pakete im **Arch User Repository (AUR)** verbreiten aktiv ein hochentwickeltes Linux-Rootkit und Infostealer-Malware. Diese weitreichende Kompromittierung zielt auf kritische Anmeldeinformationen und Zugriffstoken ab und stellt eine ernsthafte Bedrohung für Power-User und Entwickler von **Arch Linux** dar. ### Der Angriffsvektor: Gefälschte Maintainer und bösartige Pakete Berichte der Open-Source-Intelligence-Community **Independent Federated Intelligence Network (IFIN)** deuten darauf hin, dass ein neuer Maintainer einen vertrauenswürdigen Publisher auf der **AUR**-Plattform imitiert. Diese Taktik ermöglicht es ihnen, infizierte Pakete in das Community-gepflegte Repository einzuschleusen. Das **AUR** ist eine entscheidende Ressource für **Arch Linux**-Benutzer und bietet Zugriff auf einen riesigen Katalog von Software, Treibern und Kernel-Versionen, die nicht in offiziellen Repositories verfügbar sind. Seine Community-gesteuerte Natur bedeutet jedoch, dass es kein geprüfter Bereich ist, was es anfällig für Supply-Chain-Angriffe macht, bei denen Paketbesitzerwechsel unbemerkt bleiben können. ### Die Malware: `atomic-lockfile` – Ein Hybrid aus Rootkit und Infostealer Laut **IFIN**-Mitglied **Michael Taggart** werden die kompromittierten Pakete mit Preinstall-Skripten modifiziert, die ein bösartiges **npm**-Paket namens `atomic-lockfile` herunterladen und ausführen. Der unabhängige Sicherheitsforscher **Whanos** lieferte eine vorläufige Analyse und identifizierte eine Linux **ELF**-Payload namens `deps` innerhalb von `atomic-lockfile`. Diese Payload wird als "Credential Stealer mit optionalen Root-only **eBPF** [extended Berkeley Packet Filter] Rootkit-Fähigkeiten" beschrieben. Die Malware ist speziell darauf ausgelegt, Entwickler-Workstations und Build-Umgebungen ins Visier zu nehmen. **Whanos** stellt fest, dass die Infostealer-Funktionalität eine umfangreiche Liste sensibler Daten anvisiert, darunter: * Browser- und **Electron**-Anwendungsdaten * **Slack**, **Microsoft Teams** und **Discord**-Daten * **GitHub**-Anmeldeinformationen * **npm**-Token * **HashiCorp Vault**-Token * **Docker/Podman**-Artefakte * **SSH**-Schlüssel * **VPN**-Materialien * Shell-Verläufe * Andere lokale Entwicklergeheimnisse Die Präsenz der **eBPF**-Technologie verleiht der Malware erhöhte Berechtigungen, wodurch sie innerhalb des Kernels ausgeführt werden und lokale Prozesse effektiv verbergen kann, was die Erkennung und Entfernung erheblich erschwert. ### Sonatype's Erkenntnisse: Gekaperte verwaiste Pakete Das Supply-Chain-Management-Unternehmen **Sonatype** veröffentlichte ebenfalls einen Bericht, der eine ähnliche Kampagne gegen das **AUR**-Repository detailliert beschreibt, wenn auch mit einer etwas anderen Methode zur Bereitstellung des `atomic-lockfile` **npm**-Pakets. **Sonatype**-Forscher beobachteten, wie Angreifer mindestens 20 verwaiste Pakete auf **AUR** kaperten. Die Angreifer modifizierten die **PKGBUILD**-Datei – ein **Bash**-Skript mit Build-Informationen für **Arch Linux**-Pakete –, um ein Post-Install-Skript hinzuzufügen. Dieses Skript ruft **npm** auf, um das bösartige `atomic-lockfile`-Paket während des normalen Paketinstallationsprozesses abzurufen und zu installieren. Die Analyse von **Sonatype** bestätigte die Präsenz einer Linux-Executable mit Verweisen auf ein **eBPF**-Rootkit, das in der Lage ist, Prozesse, Dateien und Netzwerkschnittstellen zu verbergen. Die Binärdatei zeigte auch Infostealer-Fähigkeiten mit Funktionalität für Datenarchivierung, Multi-Part-Datei-Handling und **HTTP**-Uploads, was auf einen robusten Exfiltrationsmechanismus hindeutet. ### Reaktion der Community und Benutzerhinweise **AUR**-Maintainer arbeiten aktiv daran, alle bösartigen Commits zu identifizieren und zu entfernen und die zugehörigen Konten zu sperren. **Arch Linux**-Paket-Maintainer **Jonathan Grotelüschen** hat die Community aufgefordert, verdächtige Pakete zu melden, auf die sie stoßen. Für **Arch Linux**-Benutzer wird generell empfohlen, nur Projekten mit häufigen Updates und einer aktiven, engagierten Community zu vertrauen. Benutzer werden angewiesen: * Die Liste der betroffenen Pakete zu überprüfen, die im Bericht von **Whanos** zu finden ist. * Nach Indikatoren für eine Kompromittierung (IOCs) Ausschau zu halten, die in den Berichten bereitgestellt werden. * Ein von **Michael Taggart** geteiltes Skript zu verwenden, das auf ihrem System nach der `atomic-lockfile`-Malware sucht. Wenn kompromittierte Pakete entdeckt werden, sollten Benutzer sofort alle Anmeldeinformationen rotieren und eine vollständige Neuinstallation von **Arch Linux** von Grund auf neu in Erwägung ziehen. Die Persistenz eines Rootkits, insbesondere eines, das **eBPF** nutzt, bedeutet, dass es Standardbereinigungsversuche überleben kann, was eine vollständige Systemlöschung erfordert, um eine vollständige Behebung zu gewährleisten.